網(wǎng)絡(luò)對抗6安全體系結(jié)構(gòu)和網(wǎng)絡(luò)安全組建

1、安全問題出自內(nèi)部漏洞，網(wǎng)絡(luò)防御就是堵住所有漏洞+抓住漏網(wǎng)黑客第3章 安全體系結(jié)構(gòu)和模型1整理ppt安全漏洞可能由以下因素引起：網(wǎng)絡(luò)物理連接網(wǎng)絡(luò)電磁耦合網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)網(wǎng)絡(luò)設(shè)備的應(yīng)用程序網(wǎng)絡(luò)中的數(shù)據(jù)庫網(wǎng)絡(luò)用戶行為2整理ppt網(wǎng)絡(luò)物理連接與外界連通就有合法者進(jìn)來，要避免非法者進(jìn)來網(wǎng)絡(luò)電磁耦合沒有物理連通，但通過電磁輻射可以接收，通過電磁干擾和耦合可以注入網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)有合法者使用，要避免非法者偷用網(wǎng)絡(luò)設(shè)備的應(yīng)用程序有合法者使用，要避免非法者偷用網(wǎng)絡(luò)中的數(shù)據(jù)庫有合法讀寫，要避免組合分析和非法讀寫網(wǎng)絡(luò)用戶行為3整理ppt內(nèi)聯(lián)：全內(nèi)部域?qū)＞€DDN幀中繼內(nèi)部域內(nèi)部專用內(nèi)部域相對比較安全4整理ppt內(nèi)

2、聯(lián)：通過外部域內(nèi)部域相對不安全專線DDN幀中繼外部租用5整理ppt外聯(lián)：內(nèi)部網(wǎng)與外部網(wǎng)互連內(nèi)部域外部域外部域相對更不安全HackCrack黑客6整理ppt要“上鎖”，提前消除漏洞要“檢查”，及時發(fā)現(xiàn)漏洞要“監(jiān)視”，及時發(fā)現(xiàn)入侵者漏洞是不可避免的積極防御包括：網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全評估網(wǎng)絡(luò)安全監(jiān)測用假目標(biāo)欺騙7整理ppt3.1 OSI安全體系結(jié)構(gòu)安全機制安全機制安全機制安 全 服 務(wù)安全威脅網(wǎng)絡(luò)應(yīng)用8整理ppt1、對等實體鑒別服務(wù)2、數(shù)據(jù)源鑒別服務(wù)3、訪問控制服務(wù)4、連接保密服務(wù)5、無連接保密服務(wù)6、選擇字段保密服務(wù)7、業(yè)務(wù)流保密服務(wù)8、可恢復(fù)連接完整性服務(wù)9、無恢復(fù)連接完整性服務(wù)10、選擇字段連

3、接完整性服務(wù)11、無連接完整性服務(wù)12、選擇字段無連接完整性服務(wù)13、帶源驗證的來源不可否認(rèn)服務(wù)14、帶交付驗證的交付不可否認(rèn)服務(wù)OSI 規(guī)定 14 種服務(wù)和 8 種機制9整理ppt（1）加密（2）偽裝業(yè)務(wù)流（3）數(shù)字簽名（4）數(shù)據(jù)完整性（5）身份鑒別通信對方鑒別單方鑒別互相鑒別數(shù)據(jù)發(fā)方鑒別（6）訪問控制（7）路由控制（8）第三方公證OSI 規(guī)定 14 種服務(wù)和 8 種機制10整理ppt 使安全機制和安全服務(wù)能夠正常發(fā)揮作用； 支持安全審計和追蹤； 安全管理11整理ppt3.2 動態(tài)自適應(yīng)的安全模型安全策略安全防護(hù)安全檢測安全響應(yīng)12整理ppt3.4 六層網(wǎng)絡(luò)安全體系鏈路安全物理安全環(huán)境安全設(shè)

4、備安全介質(zhì)安全網(wǎng)絡(luò)級安全信息安全傳輸安全存儲安全安全審計應(yīng)用安全傳輸安全存儲安全安全審計用戶安全13整理ppt3.5 基于六層體系的網(wǎng)絡(luò)安全方案1、物理安全保障2、數(shù)據(jù)鏈路安全保障3、網(wǎng)絡(luò)訪問安全保障4、身份認(rèn)證體系5、漏洞掃描和安全評估6、入侵檢測和病毒防護(hù)7、審計、追蹤、取證8、主機系統(tǒng)安全9、桌面應(yīng)用安全10、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)14整理ppt基于TCP/IP的安全體系結(jié)構(gòu)SSL 安全套接字層IPsec 加密的IP15整理ppt物理通信網(wǎng)鏈路層通信安全機制IP加密解密防火墻的安全控制與過濾及 IPsec IP 路由選擇數(shù)據(jù)報加密解密 及 網(wǎng)絡(luò)安全控制與過濾（SSL）TCPUDP商業(yè)事務(wù)FT

5、PSMTPTELNETNFSDNSSNTP安全服務(wù)器安全服務(wù)器審計與記錄1234516整理ppt安全套接字層協(xié)議（SSL） 安全套接字層協(xié)議是美國Netscape公司于1996年推出的一種著名安全協(xié)議。此協(xié)議是一個建立在TCPIP協(xié)議之上提供客戶和服務(wù)器雙方網(wǎng)絡(luò)應(yīng)用安全通訊的開放式協(xié)議。SSL協(xié)議建立在傳送層和應(yīng)用層之間，由記錄協(xié)議和握手協(xié)議組成，其中記錄協(xié)議在握手協(xié)議下端。SL記錄協(xié)議主要完成分組和組合，壓縮和解壓縮，以及消息認(rèn)證和加密等功能。加密過程如圖1所示，解密過程如圖2所示。 17整理ppt安全套接字層協(xié)議（SSL） 圖1 加密過程圖2 解密過程18整理ppt安全套接字層協(xié)議（SSL

6、）SSL握手協(xié)議描述安全連接建立的過程，在客戶和服務(wù)器傳送應(yīng)用層數(shù)據(jù)之前，完成加密算法，密鑰加密密鑰算法的確定，以及交換預(yù)主密鑰，并最后產(chǎn)生相應(yīng)的客戶和服務(wù)器MAC秘密、會話加密密鑰等功能，協(xié)議由下面不同的連續(xù)過程組成： 19整理ppt要堵住所有漏洞補充 網(wǎng)絡(luò)的安全組建20整理ppt合理劃分網(wǎng)段網(wǎng)絡(luò)層隔離多用交換機少用集線器避免共享網(wǎng)段管好映射監(jiān)測端口 telnet劃分VLAN 避免共享限制廣播域管好VLAN設(shè)置 telnet1、局域網(wǎng)中減少共享21整理ppt2、廣域網(wǎng)的拓?fù)浒踩?局域網(wǎng)劃分網(wǎng)段，MAC層還是全互通的解決辦法：構(gòu)建廣域網(wǎng)采用設(shè)備：網(wǎng)橋、路由器、網(wǎng)關(guān)路由器弱點：篡改路由路由表被修

7、改 telnet錯誤的路由信息報文，RIP傳播快靜態(tài)路由OSPF較安全，錯誤可及時糾正22整理ppt外聯(lián)：經(jīng)防火墻互連內(nèi)部域防火墻：阻止無權(quán)用戶出入記錄出入審計信息Hack黑客Crack合法用戶網(wǎng)絡(luò)防火墻有權(quán)用戶無權(quán)用戶因特網(wǎng)多重防火墻23整理ppt外聯(lián)：經(jīng)代理連接內(nèi)部域Hack黑客Proxy有權(quán)用戶 WWW,FTP,SMTP無權(quán)用戶因特網(wǎng)Proxy：應(yīng)用網(wǎng)關(guān)只代理設(shè)定應(yīng)用有選擇地轉(zhuǎn)發(fā)請求隱藏內(nèi)部地址多級代理24整理ppt3、通過虛擬專用網(wǎng)互連內(nèi)部域相對不安全解決：自建專用網(wǎng) VPN專線DDN幀中繼外部租用內(nèi)部域25整理ppt公用的 Internet虛擬專用網(wǎng) VPN(Virtual Priv

8、ate Network)加密信道遠(yuǎn)程接入IPsec內(nèi)網(wǎng)2IPsecIPsec內(nèi)網(wǎng)1整理ppt4、通過防火墻互連防火墻：阻止無權(quán)用戶出入記錄出入審計信息網(wǎng)絡(luò)防火墻因特網(wǎng)27整理ppt1) 連接控制，控制哪些應(yīng)用程序終結(jié)點之間可建立連接。例如，防火墻可控制內(nèi)部的某些用戶可以發(fā)起對外部WEB站點間的的連接。2) 協(xié)議控制，控制用戶通過一個應(yīng)用程序可以進(jìn)行什么操作，例如，防火墻可以允許用戶瀏覽一個頁面，同時拒絕用戶在非信任的服務(wù)器上發(fā)布數(shù)據(jù)。3) 數(shù)據(jù)控制，防火墻可以控制應(yīng)用數(shù)據(jù)流的通過。如防火墻可以阻塞郵件附件中的病毒。防火墻28整理ppt防火墻基本作用允許授權(quán)用戶訪問網(wǎng)絡(luò)資源阻止未授權(quán)用戶訪問網(wǎng)絡(luò)

9、資源基本功能數(shù)據(jù)轉(zhuǎn)發(fā)功能數(shù)據(jù)過濾功能依據(jù)：源、目的IP地址和端口號設(shè)備：專用硬件+軟件 硬件防火墻設(shè)備通用計算機+防火墻軟件29整理ppt防火墻附加功能審計日志紀(jì)錄網(wǎng)址變換 NAT內(nèi)容過濾負(fù)載均衡入侵檢測虛擬專用網(wǎng) VPN防火墻不是銅墻鐵壁 常有攻破的30整理ppt要堵住所有漏洞補充 常見的安全技術(shù)31整理ppt1. 加密編碼技術(shù)2. 數(shù)字簽名技術(shù)3. 散列技術(shù) 利用Hash函數(shù)加解密4. 身份鑒別技術(shù) 口令，或?qū)ｉT硬件5. 自動回叫技術(shù) 增加連接的隱蔽性6. 防火墻和入侵檢測7. VPN技術(shù)安全技術(shù) 32整理ppt加密傳輸：防止傳輸中的信息泄密加密存儲：防止存儲中的信息泄密數(shù)據(jù)加密33整理ppt數(shù)字簽名 DSKPK用公開密鑰 核實簽名用秘密密鑰 進(jìn)行簽名X發(fā)送者A接收者BDSK(X)XE34整理ppt加密